vai direttamente al contenuto e salta il menu di navigazione
> Il CINECA > Certificazioni > ISO 27001:2005
   
ISO 27001:2005
 Certificazione del Sistema di gestione della sicurezza delle informazioni.
Il Cineca prosegue il proprio percorso di estensione del campo di applicazione del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), secondo i requisiti dettati dallo standard internazionale ISO 27001:2005.

Tale percorso è iniziato nel Settembre del 2005, con il conseguimento della certificazione BS 7799:2002 (British Standard) per le seguenti attività: "analisi, progettazione, sviluppo, manutenzione ed erogazione di servizi di Decision Support System e di infrastrutture di sistemi informativi per la conduzione, il monitoraggio e l'analisi di sperimentazioni cliniche e registri epidemiologici, rivolti a organizzazioni operanti nel settore sanitario a cura del dipartimento Sistemi Informativi e Servizi per la Sanità del CINECA"

Il 2006 vede invece impegnato il Cineca nelle attività di adeguamento del proprio SGSI allo standard a valenza internazionale ISO 27001:2005, che recepisce buona parte dei principi e controlli del precedente standard inglese, con l’aggiunta di un importante requisito: la necessità di definire misure di efficacia per tutti i controlli, o gruppi di controlli di sicurezza, adottati dall’organizzazione.

La validazione del progetto di certificazione, si è avuta, nel Luglio 2006, con il superamento di una verifica ispettiva effettuata dal RINA, in qualità di primo organismo di certificazione in Italia ad avere ottenuto l’accreditamento presso il SINCERT (Sistema Nazionale per l'Accreditamento degli Organismi di Certificazione e Ispezione) al rilascio di tale tipologia di certificazione.

Proseguendo con la descrizione della storia del SGSI del CINECA, si arriva al Febbraio 2007, con una ulteriore verifica ispettiva del RINA che ha segnato per il Cineca un’altra tappa fondamentale: l’ottenimento della certificazione ISO 27001 anche per le attività di "erogazione di servizi infrastrutturali per sistemi ICT, con particolare riferimento all’housing, connettività di rete, sicurezza fisica e logica, servizi tecnici di supporto (eyes and hands)". Tale ulteriore riconoscimento, evidenziato sul certificato di conformità, rappresenta un elemento fondamentale per il CINECA in quanto denota una forte attenzione alla messa in sicurezza di tutti gli strati e le componenti del sistema informatico, così come richiesto dallo standard di riferimento nei suoi 134 controls (misure di sicurezza).
Questo ha implicato il fattivo coinvolgimento, nell’implementazione e nel mantenimento del SGSI, di ben tre dipartimenti del Cineca:
  • il dipartimento Sistemi e Tecnologie, responsabile della applicazione delle misure di sicurezza relative alla infrastruttura ICT (hardware; sistemi operativi; data base; apparati di rete; facilities; sicurezza fisica)
  • il dipartimento Servizi per la Gestione dell'Informazione e della Conoscenza, responsabile delle tecnologie "middleware" su cui si basano le applicazioni del dipartimento della Sanità
  • Il dipartimento Sistemi informativi e servizi per la Sanità, responsabile della progettazione, sviluppo, manutenzione ed erogazione della componente applicativa del servizio
. 		Logo certificazione ISO 27001:2005
Perché la certificazione ISO 27001 ?

Perché il CINECA ha scelto tale standard, quale punto di riferimento per il governo dei processi connessi alla sicurezza dei dati? La risposta è insita nel titolo della norma, che richiama il concetto di sistema di gestione, mutato dal mondo della qualità, che impone all'organizzazione una visione della sicurezza delle informazioni come un insieme di processi da regolamentare tramite la definizione di ruoli, responsabilità, interfacce di comunicazione e procedure operative.

La sicurezza dunque non solo come insieme di contromisure di carattere tecnologico, ma anche di misure di carattere comportamentale ed organizzativo, da definire all'interno di procedure operative documentate.

Per rendersi conto della completezza dello standard, basti elencare le 11 macrocategorie di controlli in cui è strutturato l'Annex A (sezione della ISO 27001:2005 che elenca i 134 controlli e obiettivi dei controlli da valutare ed implementare, in base alle esigenze dell'organizzazione):

  • A.5 Security policy
  • A .6 Organizzazione della sicurezza delle informazioni
  • A.7 Gestione delle risorse
  • A.8 Sicurezza delle risorse umane
  • A.9 Sicurezza fisica e ambientale
  • A.10 Gestione delle comunicazioni e della operatività
  • A.11 Controllo accessi
  • A.12 Acquisizione, sviluppo e manutenzione dei sistemi informativi
  • A.13 Gestione degli incidenti di sicurezza delle informazioni
  • A.14 Gestione della continuità aziendale
  • A.15 Conformità
In conclusione, la conformità allo standard garantisce la clientela sul fatto che l'integrità, disponibilità e riservatezza delle informazioni sono tra le priorità del Consorzio; il sistema di gestione implementato consente infatti di prevenire o comunque di ridurre notevolmente i rischi di incidenti di sicurezza grazie anche ad pronta reazione verso qualsiasi nuova minaccia o vulnerabilità.